Владимир Комлев: «Безопасность платежной системы «Мир» будет на уровне других систем. Или лучше» - «Интервью»
Владимир Комлев
председатель правления, генеральный директор НСПК
О том, как идет подготовка к выпуску российской карты «Мир» и как обеспечить безопасность работы национальной системы платежных карт, порталу Банки.ру рассказал председатель правления, генеральный директор НСПК Владимир КОМЛЕВ.
– Какие шаги нужно предпринять НСПК для начала выпуска российских карт «Мир»?
– Для появления карты «Мир» необходимо проработать достаточно много направлений. Любая современная карта — это прежде всего встроенный в нее чип, платформа, на которой этот чип работает, и платежное приложение, которое размещается на эту платформу и определяет платежную функциональность карты. Кроме перечисленного, это еще непосредственно сам пластик, его дизайн, бренд и способы защиты этой карты от подделки.
Надо сказать, что сегодня основными элементами защиты карты являются чип и его криптографические возможности, которые применяются в нашем платежном приложении. Именно они защищают карту и операции по ней от подделок и других видов мошенничества, обеспечивая целостность данных, аутентификацию и действительный характер трансакции.
На сегодняшний день мы уже ведем активную работу с поставщиками чипов самых разных платформ и с компаниями, которые занимаются сертификацией и тестированием платежных приложений, анализом соответствия спецификаций на эти платежные приложения международным стандартам.
В настоящее время компания «Пронит» занимается аудитом наших спецификаций. После мы проведем аудит уже нашего платежного приложения на соответствие международным стандартам и подготовленным и сертифицированным спецификациям. Для быстрого и массового старта на широком спектре микропроцессорных платформ НСПК разработала платежное приложение на Java. Это наиболее универсальная, гибкая и максимально функциональная платформа на сегодняшний день. Именно поэтому первые выпущенные карты будут сделаны на Java-платформе.
– Неужели это одна из самых современных платформ?
– Да, в карточных технологиях это сейчас самая универсальная, гибкая и максимально эффективная, с нашей точки зрения, платформа. Хотя существует целый ряд нативных платформ, операционных систем, чипов, которые требуют специальной разработки приложений. Мы, как платежная система, должны дать банкам, особенно первым присоединившимся, уже готовое приложение: ведь сроки до начала эмиссии карт очень сжатые.
Сейчас мы тестируем это приложение с рядом поставщиков самих чипов.
– А с банками уже начали тестировать это платежное приложение?
– С банками его тестировать еще рано. Сами банки пластик и чипы не делают, они сотрудничают с тем или иным поставщиком пластика. Да и платежное приложение самостоятельно пишут очень редко: в большей степени это все-таки задача платежных систем и специализированных компаний-вендоров.
К сентябрю 2015 года наше платежное приложение и сами спецификации будут доступны банкам и поставщикам для проведения персонализации и выпуска карт «Мир». Мы также передадим их компаниям, которые занимаются поставкой микропроцессорных и платежных приложений на собственных операционных системах. Среди них есть целый ряд отечественных компаний. Например, есть российская операционная система SCONE, компания «Микрон» разработала операционную систему Just. На всех этих платформах, а также на целом ряде зарубежных, российские банки могут выпускать карты «Мир». После разработки собственного приложения по нашим спецификациям этим компаниям нужно будет пройти сертификацию в НСПК. Это отдельное очень серьезное направление – создание в НСПК центров сертификации и внутреннего аудита поставщиков тех решений, которые можно использовать в рамках платежной системы «Мир».
– Это еще и разработка внутренних стандартов?
– Да, это разработка внутренних методик, внутренних стандартов, создание самих физических средств сертификации. По опыту других платежных систем я могу сказать, что очень часто эту работу для платежных систем проводят специализированные компании.
Кроме самой карты, нами созданы еще и протоколы взаимного обмена информацией между банками и процессинговым центром. В процессе этой работы мы, конечно, консультировались со многими экспертами рынка, прежде всего с банками, их поставщиками, крупнейшими вендорами. Эти протоколы будут использоваться для подключения банков к платежной системе «Мир».
После проверки самого чипа выполняется проверка решений для банкоматов и POS-терминалов, проверка хостовых решений для эквайринга и для эмиссии. Цель этих действий – проверить корректность информационного взаимодействия между участниками платежной системы и их устройствами. 1 июля мы передали спецификации на клиринговые и процессинговые протоколы банкам и их вендорам, чтобы они могли оперативно разработать специализированное ПО для взаимодействия с платежной системой «Мир».
Мы ставили перед собой цель создать собственные протоколы, совместимые с международными стандартами ISO, сделать их максимально простыми для участников. То есть попытались сделать их уникальными, индивидуальными для НСПК, но чтобы эта уникальность не привела к каким-то серьезным изменениям в процессинговых системах. Это межхостовое онлайновое и офлайновое ежедневное взаимодействие между процессингом самого банка и НСПК. Кроме всего, спецификации и протоколы мы постарались оптимизировать по сравнению с тем, что используется сегодня.
Надеемся, что наше предложение рынку будет максимально похоже на то, что уже сделано в этой сфере, но удобнее. И участникам рынка не придется многое переделывать.
– Довольны ли вы увиденными на данный момент результатами тестов платежного приложения?
– Мы его еще тестируем. Большинство чиповых вендоров предоставили нам образцы своих тестовых карт. Совместно с ними мы это приложение «залили» на карточки, сейчас оно проходит наше внутреннее тестирование на самых разных платформах. У нас есть как международные, так и собственные средства тестирования.
– Не бывает доверия без безопасности. Как система безопасности НСПК может завоевать доверие пользователей наших карточек? На каких стандартах она будет базироваться?
– Действительно, в карточном бизнесе вопрос безопасности, сохранности данных, безопасной и надежной аутентификации держателя карты в процессе проведения трансакции является ключевым. Сегодня любые инновационные разработки в платежной сфере должны быть основаны на безопасности.
В НСПК мы опираемся в первую очередь на уже сложившуюся на рынке экспертизу по безопасности. Мы понимаем все вызовы сегодняшнего дня, у нас в компании работают ведущие эксперты в этой области, в том числе наш главный технолог и архитектор – Игорь Голдовский, признанный в мире эксперт в области EMV-технологий и безопасности в платежных системах. Безусловно, будет использован и весь международный опыт.
Второй фактор безопасности – наличие отечественных разработок, систем шифрования и защиты. Мы стараемся использовать устройства криптозащиты отечественного производства везде, где это возможно. Так что даже недокументированных рисков, о которых редко говорят, но которые действительно присутствуют, возможно избежать. Плюс сертификация всех решений, которые мы делаем.
Все это позволяет нам быть уверенными, что безопасность и надежность платежной системы «Мир» будет как минимум на уровне других платежных систем. Или лучше. Хотя, конечно, безопасность – это всегда борьба между броней и снарядом. Сначала сделали снаряд, потом выстроили броню, потом сделали новый снаряд. Это постоянно эволюционирующий процесс. И здесь мы тоже понимаем: чем сложнее система, тем сложнее ее содержать и тем важнее обеспечить ее безопасность.
– Чем сложнее, тем уязвимее...
– Нет. Сегодняшние системы, связанные с токенизацией, с биометрической идентификацией, конечно, имеют свои, может быть, не осознанные пока риски. Но все же карточные данные, персональные данные клиента становятся более защищенными. Более того, я могу сказать, сегодня трансакция, например, в мобильной коммерции, не менее защищена, а иногда и более, чем трансакция по чиповой карте в обычном контактном терминале. Имеющиеся сегодня средства защиты разрабатывались с учетом того, что уровень безопасности, защищенности должен повышаться. Безусловно, когда мы будем вступать в следующем году в фазу разработки мобильных и бесконтактных приложений и электронных кошельков, интеграции с электронными кошельками, все наработки, вся экспертиза будут учитываться. Мы будем во всеоружии. Наша система будет защищена очень адекватно.
– За последние три месяца у НСПК было два сбоя, оба в апреле. Причины их возникновения были для вас неожиданностью?
– Я могу сказать так: у каждого сбоя всегда есть свои причины, а дьявол кроется в деталях. То есть не бывает одной причины, поэтому каждый сбой – что-то индивидуальное. Здесь самое главное – сделать правильные выводы.
Когда произошел первый сбой, мы сообщили, что причины его находились вне периметра НСПК. Это действительно так. Отчасти это вопрос к тем или иным поставщикам решений, которые обеспечивали телекоммуникационные взаимодействия между нами и участниками рынка и в полной мере не выполнили требования наших технических заданий, что и привело к сбою. Если бы все наши требования были выполнены, такой сбой не произошел бы. По факту системных проблем и архитектурных недоработок в нашей системе не было. Мы уверены в том, что система построена с высочайшей степенью надежности.
Во втором случае нештатная ситуация была связана с некорректной обработкой скрипта в одном из приложений программного обеспечения. Специалисты НСПК оперативно его обнаружили и исправили. При этом надо сказать, что банки даже не заметили этого, и мы сами информировали участников о данном случае.
Сейчас важно, что система ежедневно обрабатывает достаточно большое количество трансакций в день – до 15 миллионов. Увеличение количества трансакций происходит, например, накануне праздников. В пятницу и субботу их обычно больше, чем в воскресенье и понедельник. В среднем мы обрабатываем 11–12 миллионов трансакций ежедневно.
При этом архитектурно система выстроена так, что даже в пиковые периоды загрузка нашей системы не превышает 10–12%. То есть система работает с очень хорошим запасом прочности, производительности и отказоустойчивости.
Любая платежная система – это всегда комплексное взаимодействие и участников, и других систем. Отладить все элементы этого взаимодействия – наша задача. Можно построить гениальную систему, в которой не будут отлажены элементы межсистемных шлюзов, стыков, взаимодействий. И она будет страдать в этих местах. Именно для обеспечения высокой надежности, безопасности и бесперебойности работы системы в целом мы взаимодействуем как с участниками рынка, банками, так и с их вендорами и провайдерами.
Беседовал Михаил ТЕГИН,